Большинство случаев ошибок в работе и отказов в обслуживании ИТ-инфраструктуры связано с несогласованными изменениями или с ошибками настройки конфигураций, некорректной настройкой прав доступа. Таким образом, важным аспектом обеспечения безопасности сети является внедрение процессов управления конфигурациями, в частности, контроль целостности конфигураций сетевых устройств.
В общем случае ИТ и ИБ-подразделения сталкиваются со сложностями при работе с оборудованием. Системные администраторы при корректировке настроек расходуют значительное количество времени на подготовку к изменениям для восстановления в памяти всех деталей и особенностей настроек того или иного компонента ИТ-инфраструктуры. Те же самые факторы усложняют мероприятия по развитию ИТ-инфраструктуры. Эти сложности усугубляются тем, что многие предприятия используют оборудование широкого спектра различных фирм-производителей.
Сталкиваясь с эксплуатацией крупных систем, многие задумываются об инструментах, которые могли бы помочь в оперативном анализе конфигураций ее компонентов, эффективно спланировать и реализовать изменения. Для решения данной задачи возникает потребность в централизованном хранении эталонных конфигураций с возможностью удобной работы с накопленными в таком хранилище данными.
С обеспечением централизованного хранения эталонных конфигураций решается задача контроля целостности настроек и параметров оборудования, которая обусловлена нормативными документами. В частности, ФСТЭК выдвигает требования контроля информационной и программной частей межсетевых экранов и регламентирует такие меры, как контроль целостности и управление конфигурациями (АНЗ, ОЦЛ, УКФ). В зависимости от угроз и условий безопасности могут выдвигаться дополнительные требования контроля целостности, в том числе контроля динамических параметров.
Централизация хранения конфигурационной информации также упрощает контроль и учет изменений в ИТ-инфраструктуре и является основой автоматизации этого процесса.
Зачастую ИТ-подразделения в своей практике используют библиотеку ITIL как стандарт управления и пре-
доставления различных сервисов для бизнеса. Одной из важнейших частей ITIL являются процессы управления конфигурациями (Configuration Management, CfM). Основное внимание CfM сфокусировано на выявлении, хранении и проверке информации об ИТ-активах и конфигурациях на предприятии. CfM сохраняет актуальную информацию о конфигурационных элементах, которыми являются компоненты ИТ-инфраструктуры, например, оборудование, программное обеспечение, документация или персонал.
Рисунок 1. Архитектура Efros Config Inspector
Вся информация хранится в базе данных управления конфигурацией (CMDB). Деятельность управления конфигурацией включает в себя:
- Определение параметров контроля, заполняемых в CMDB.
- Определение списка конкретных устройств и ввода их в CMDB.
- Сбор, запись и сохранение точной информации об элементах.
Стандарт ITIL достаточно подробно описывает процесс управления конфигурациями. В дополнение Стандарт ISO 2700X, описывая систему менеджмента информационной безопасности, регламентирует требование о необходимости формализации процесса управления элементами ИТ-инфраструктуры. Данное требование выполнимо путем внедрения процедур управления конфигурациями и изменениями. Обе эти процедуры реализуются на третьем уровне Системы менеджмента информационной безопасности и относятся к процессу управления информационной инфраструктурой организации.
В отличие от ИТ-подразделений для администраторов ИБ важен несколько другой перечень параметров, определяемых в рамках CMDB, необходимых для контроля. Для сетевого оборудования это могут быть, в частности, ACL, информация о пользователях, параметры VPN и т.д. Помимо контроля изменений, также администраторам ИБ важен факт безопасной настройки устройств, за который обычно в различных системах отвечают механизм проверки на соответствие (Compliance). Суть такого механизма заключается в автоматическом анализе конфигураций, хранящихся в базе данных (CMDB), и предоставлении администратору ИБ рекомендаций по безопасной настройке оборудования. Также актуальным остается вопрос информирования администратора об уязвимостях, которые могут быть найдены в конфигурациях оборудования.
В настоящее время на рынке присутствует ряд систем, позволяющих реализовать процесс управления конфигурациями и изменениями с точки зрения информационной безопасности. Класс таких систем можно условно назвать NCCCM (Network configuration, change & compliance management).
Из общего набора продуктов класса NCCCM присутствует достаточное количество средств, которые могут помочь обеспечить вышеуказанные требования. Однако большинство из них способно выполнять только аудит сетевых устройств. Но что если злоумышленник изменит конфигурацию или подменит какой-либо файл в файловой системе сетевого устройства? В таком случае система, ведущая аудит, может и не «заметить» непосредственного изменения конфигурации и вывести сообщение, что все в порядке. Особенно если изменения злоумышленника не касаются ключевых точек, по которым ведется аудит.
Рисунок 2. Efros Config Inspector
Также важно отметить, что подавляющее большинство продуктов ориентировано на ограниченный набор производителей оборудования. Соответственно, использовать эти средства с устройствами других фирм-производителей не представляется возможным.
Одним из инструментов контроля и управления конфигурациями является программный комплекс, разработанный ООО «Газинформсервис», – Efros Config Inspector.
Основной задачей данного комплекса является автоматизация контроля конфигураций сетевого оборудования, платформ виртуализации на базе VMware и контроль целостности файлов и параметров серверов Unix и Windows.
Efros Config Inspector осуществляет сбор, централизованное хранение и контроль целостности как конфигурационной информации, так и программного обеспечения, аппаратных средств, таблиц коммутации и маршрутизации.
Рисунок 3. Анализ уязвимостей в Efros Config Inspector
В соответствии со стандартом CobiT возможности Efros Config Inspector по управлению конфигурациями соответствуют следующим элементам управления:
DS9 Manage the Configuration (Управление конфигурацией)
- DS9.1 Configuration Repository and Baseline (Хранилище конфигурации и базисная конфигурация)
- DS9.2 Identification and Maintenance of Configuration Items (Идентификация и поддержка элементов конфигурации)
- DS9.3 Configuration Integrity Review (Проверка целостности конфигурации).
Помимо возможности управления конфигурациями сетевого оборудования, Efros Config Inspector проводит контроль конфигураций виртуальной инфраструктуры. Для виртуальной инфраструктуры поддерживаются следующие виды контроля:
- контроль дерева иерархии объектов виртуальной инфраструктуры;
- контроль списка ролей объектов виртуальной инфраструктуры.
Клиент-серверная архитектура Efros Config Inspector обеспечивает возможности круглосуточной работы серверной части, хранения данных в СУБД, одновременной работы с нескольких компьютеров, поддерживает ведение списка пользователей программы с обеспечением их аутентификации и кодированием передаваемых данных по алгоритмам AES или ГОСТ 28147–89 с использованием криптопровайдера
КриптоПро.
Серверная часть Efros Config Inspector подключается к устройствам, контролирует целостность конфигурационных файлов и параметров. Проверки запускаются по расписанию или по требованию.
Для пользователей информация о параметрах и настройках оборудования отображается в виде удобно читаемых и легко воспринимаемых отчетов.
При обнаружении изменений новое значение сохраняется, на средство управления отправляется Syslog-сообщение, администратор оповещается посредством электронной почты.
Программный комплекс функционирует на платформе ОС Windows.
Efros Config Inspector может быть интегрирован с такими решениями, как сервер аутентификации и контроля доступа в составе платформы управления процессами идентификации и контроля доступа для централизованного управления и хранения учетных данных и прав администраторов.
Помимо этого, программный комплекс может быть интегрирован с системой для сбора, консолидации и управления событиями ИБ уровня предприятия ArcSight ESM с помощью разработанных специализированных коннекторов.
Программный комплекс Efros Config Inspector может быть использован при решении следующих задач:
- Сокращение расходов и рисков при администрировании ИТ-инфраструктуры. Обнаружение и оповещение об изменениях конфигураций, ведение истории их версий, индикация о несохраненных изменениях позволяет упростить задачу администрирования и управления устройствами.
- Усиление уровня защищенности элементов ИТ-инфраструктры. Анализ текущих конфигураций устройств и предоставление рекомендаций к безопасной настройке оборудования. Анализ устройств на наличие уязвимостей.
- Выполнение требований стандартов и нормативных документов. Контроль изменений конфигураций является одним из требований стандарта PCI DSS. Кроме того, требования контроля программной и информационной частей выдвигает ФСТЭК России для сертифицированных межсетевых экранов (МЭ). Обеспечение динамического контроля позволяет выполнить требования контроля МЭ до второго класса включительно.
Продукт может использоваться как часть комплекса средств защиты в части фиксации состояния и контроля целостности средств защиты и передачи данных, в том числе для выполнения требований ФЗ № 152 «О персональных данных» и Приказа ФСТЭК №31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
_cover.jpg)
_cover.jpg)
_cover.jpg)
_cover.jpg)
